We waren er al bang voor: cybercriminelen azen in toenemende mate op medische dossiers. In 2014 waarschuwde de cyberdivisie van de FBI al in een zogenoemde Private Industry Notification dat gezondheidszorgsystemen en medische apparatuur steeds vaker het doelwit zijn van cybercriminelen. De FBI wijt dit enerzijds een groter gewin voor de misdadigers en anderzijds aan de lakse beveiligingsstandaarden bij zorginstellingen. Dat deze bewering niet uit de lucht gegrepen is, onderschrijft het Amerikaanse Ponemom instituut. Die ondervroeg in een studie 388 IT-professionals bij Amerikaanse ziekenhuizen en andere zorgaanbieders. Negen van de tien ondervraagden gaf aan in de afgelopen twee jaar te maken te hebben gehad met een datalek van patiëntgegevens, 38 procent van hen rapporteerde zelfs meer dan 5 incidenten.
Financiële en persoonsgegevens zijn uitermate waardevol op de zwarte markt. De systemen van zorginstellingen zijn daarom een ware goudmijn voor cybercriminelen. Een mijn die bovendien eenvoudig te ontginnen is, zo blijkt uit onderzoek van de FBI. Waarom is de interesse voor medische dossiers zo groot? De dossiers bevatten een schat aan financiële en persoonsgegevens die enorm veel waard zijn. Maar ook (en nu komt het!): omdat het inbreken op de IT-systemen van veel zorginstellingen kinderlijk eenvoudig blijkt te zijn. Zorginstellingen hebben zelden een uitgebreide strategie en aanpak voor IT-beveiliging. Hierdoor zijn hun bedrijfs- en zorgsystemen niet optimaal beveiligd en kunnen zij de aanvallen van cybercriminelen niet afweren. Zo komen de misdadigers vrij eenvoudig aan de medische, financiële en persoonsgegevens van patiënten en aan onderzoek en intellectueel kapitaal van de zorginstellingen.
Naast de hoge waarde van deze gegevens en de lakse houding van zorginstellingen is volgens mij een bijkomend probleem dat ambtelijke molens zo langzaam draaien. De overheid heeft tenslotte toch de taak om erop toe te zien dat organisaties de patiëntengegevens beschermen. Toch heeft het tot februari 2016 geduurd voordat er Kamervragen kwamen over hoe het gesteld is met de veiligheid van computers en patiëntengegevens in Nederlandse ziekenhuizen.
Ik ben benieuwd naar het antwoord van de ministers, hoewel dit zich eigenlijk al wel laat raden: ‘eigen verantwoordelijkheid is essentieel’ en ‘dit gaan we onderzoeken’. Dat onderzoek gaat weer lang duren en daar worden de cybercriminelen nog veel beter van dan de patiënten. Onderzoek is ongetwijfeld heel nuttig en belangrijk, maar de zorg draait toch om het credo ‘voorkomen is beter dan genezen?’ Hoeveel incidenten er ook geweest zijn, het zijn er altijd teveel. Juist de medische dossiers zijn zó gevoelig dat zij beschermd moeten worden als Fort Knox. Het is dus beter om proactief op te treden dan reactief.
Daarbij is het goed om uit te gaan van het slechtste scenario: alle systemen staan wagenwijd open. Kijk dus eerst of dat zo is en, zo niet, welke maatregelen er al genomen zijn. Neem vervolgens alle stappen die de systemen nog verder dichttimmeren om onbevoegden buiten te houden. Zo werk je toe naar het best case scenario en dat eindigt niet bij systemen, apparaten en applicaties. Dat eindigt bij de mens.
Het is vreemd dat er bij IT-beveiliging vaak niet gekeken wordt naar de echte ‘zwakste schakel’: de gebruiker van de systemen. Mensen vormen, bewust of onbewust, het grootste risico voor IT-beveiliging. Dat is vooral het geval nu zij ‘eigen’ apparaten en applicaties willen gebruiken op de werkvloer. Het advies is daarom om regels op te stellen voor individuen, functies en rollen. Met Identity en Access management is dat goed in te regelen. Zo waak je over wie er wanneer en vanaf welke locatie en met welke apparaten en applicaties toegang krijgt tot de beveiligde zorg- en bedrijfssystemen. Je geeft in feite elke gebruiker een vaccin dat hen, en de hele organisatie, beschermt tegen infecties. Dat moet de zorg toch aanspreken, want bewustzijn over IT-beveiliging is niets anders dan over gezondheidspreventie.
Bram Haasnoot. RealOpen IT
